Neue FW 5.0.1.2346 build 20230322

Ah, ich hatte mich schon gewundert.

Scheint also wirklich ein ernstes Sicherheitsproblem zu geben.

Ja, da brennt mal wieder alles:

Security Advisories | QNAP

This page lists current security advisories issued by QNAP. On this page you can also find instructions for reporting a vulnerability to QNAP.

www.qnap.com

Aber kein Wunder, da sind viele noch in Status Fixing!

Aber hey, es gibt noch genug die die Kisten von WAN Seite aus direkt erreichbar machen.

Zitat von Crazyhorse

ACHTUNG

Bei mir sind auf allen NAS Systeme die Auto Update Funktionen wieder aktiviert worden.

Bei mir nicht .. vor ca 2 Stunden auf nem Test NAS aktualisiert

pasted-from-clipboard.png

Keine verwechselung mit der Beta? Da ist nämlich alles fein...

Oh, jetzt wo ich den Screenshot komplett sehe ist eine verwechselung ausgeschlossen

So, sicherheitshalber habe ich jetzt auch mein TS-653A Haupt-NAS und das TS-451+ Backup-System aktualisiert. Bis auf die Sicherung, die ich erst am Freitag prüfen kann, läuft alles.

Mod: Unnötiges Volltextzitat gekürzt! Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

Zitat von Crazyhorse

ACHTUNG

Bei mir sind auf allen NAS Systeme die Auto Update Funktionen wieder aktiviert worden.

Kann ich nicht bestätigen. Habe eben auf einem TS-464 und einem TS-453D das Update gemacht....alle Einstellungen sind genau so wie vorher...

Bei mir auch.

Hatte ihr die Benachrichtigungen aktiv wie Crazyhorse oder deaktiviert wie dolbyman ?

Bei mir sind die Benachrichtigungen für alle 3 Update Typen aktiviert, aber das Update selbst wird nicht durchgeführt "Notify me, but do not automaitically update firmware".

Und so ist die Einstellung auch geblieben, da hat sich bei mir nichts verändert.

Gruss

Edit: Dafür erhalte seit dem Update nach jedem Reboot eine Fehlermeldung:

Message: [Network & Virtual Switch] Failed to connect to the internet. System default gateway "Virtual Switch 1" and all adapters failed to connect to the internet after checking NCSI."

Aber nur nach dem Reboot, wenige Minuten danach hat der Switch offenbar bemerkt, das es eine Internetverbindung gibt. Da ist wohl eine Abfrage zu früh.

Moin!

Wow! Das erste Mal seit Mitte letzten Jahres, daß ich eine Update-Mail von meinem TS-453D bekommen habe. Dann muß ich das wohl einmal durchziehen.

Habe gestern das TS-451+ aktualisiert - 1x reboot davor, 1x danach - leider kam dann aber eine App (QLogiTechMediaserver 2.31.00 - keine digitale Signatur) nicht mehr hoch, der Rest (HBS3 Jobs) lief und es gab auch keine Fehlermeldungen - nach Abwarten und 2 weiteren reboots läuft jetzt auch diese eine spezielle App wieder.

Update-Einstellungen sind unverändert geblieben (Notify me, but don't update). Mal sehen, ob das auch stimmt.

Soweit alles gut.

P.S.: auch die USB-Platte (und das UPS) wurde ohne Zicken erkannt und die entsprechenden HBS-Jobs laufen auch mit dieser Platte.

Installiert auf einer TS-431x, bisher läuft es ohne Probleme.

Zitat von Crazyhorse

Aber kein Wunder, da sind viele noch in Status Fixing!

Lt. Release-Notes aus dem Eingangsbeitrag sind die Fixes hierfür in der Version enthalten.

Also müsste der Status "Fixed" sein.

Zitat von tiermutter

Heute Update und heute Info über Sicherheitsprobleme für Versionen vor diesem Update? Das ist schon arg... Komisch...

Zitat von tiermutter

Ich sehe das Problem eher darin, dass sowas quasi erst mit Erscheinen der gefixten Version publik gemacht wird.

Zitat von tiermutter

Aber Zeitpunkt der Bekanntmachung und Zeitpunkt des Fixes / Updates passen einfach nicht zusammen.

Wann würdest denn Du benachrichtigen bzw. gerne benachrichtigt werden?

Zitat von Crazyhorse

Bei mir sind auf allen NAS Systeme die Auto Update Funktionen wieder aktiviert worden.

Kann ich auch nicht bestätigen. Alles so wie es sein soll. Kann es sein, dass dies seit / nach dem letzten Update so ist? Nach Updates überprüfe ich als ersteres immer dies Einstellung. Die wird gefühlt bei jedem Update wieder umgestellt.

Zitat von Crazyhorse

Aber hey, es gibt noch genug die die Kisten von WAN Seite aus direkt erreichbar machen.

No risk, no fun. Und manche wollen eben sehr sehr sehr viel Spaß haben. Wollen wir ihnen den Spaß auch gönnen. Gibt doch nichts spaßigeres als eine NAS-Entlausung.

Zitat von Mavalok2

Wann würdest denn Du benachrichtigen bzw. gerne benachrichtigt werden?

Sobald das Problem bekannt ist. Aber kann ja auch Zufall sein, keine Frage...

Und dann hätten die Hacker bis zur Schließung der Lücke Zeit diese auszunutzen. Die kennen diese vielleicht ja auch noch nicht. Nein, es ist durchaus üblich, Lücken erst bekannt zugeben - an den Endbenutzer, wenn es den Fix dazu schon gibt. Nach der Veröffentlichung des Fixes kann man ja nicht mehr anders - also kein Zufall, sondern geplant. Aber selbst danach geht es oft noch Wochen bis Monate bis halbwegs überall das Fix angekommen ist.

Mit der Information vor dem Fix kann man als Endbenutzer ja ohnehin nichts anfangen.

Zitat von Mavalok2

Nein, es ist durchaus üblich, Lücken erst bekannt zugeben - an den Endbenutzer, wenn es den Fix dazu schon gibt.

Ist so wie hier:

Zitat von Heise Online

Da es sich bei diesen kritischen Sicherheitslücken um eine seltene Kombination handelt aus erweitertem Remote-Zugriff durch die Schwachstelle und der Geschwindigkeit, mit der ein Exploit erstellt werden könnte, hat Googles Project Zero die Informationen anders als üblich nicht nach dem sonst gebräuchlichen Zeitraum publik gemacht. Angreifer könnten sonst mehr von der Veröffentlichung profitieren als Nutzer, erläutern Googles Mitarbeiter.

Nachtrag:

In der Mittagspause habe ich die Version aktualisiert und die 2346 läuft ohne Auffälligkeiten.

Inzwischen läuft sie hier auf einer TS-473A. Bis jetzt ist mir nichts aufgefallen.

Crazyhorse

Firmware-Update Einstellungen sind wie vorher. Hat sich mit dem Update nichts verändert.

Update auf 2346 läuft auch bei mir